ゲートウェイエンドポイント - Virtual Private Cloud - Alibaba Cloud ドキュメントセンター

エンドポイントを使用して、仮想プライベートクラウド (VPC) とAlibaba cloudサービス間に安全で安定したプライベート接続を確立する場合は、VPCにゲートウェイエンドポイントを作成し、ゲートウェイエンドポイントに関連付けるルートテーブルを指定できます。サービスを宛先とするルートのネクストホップは、自動的にゲートウェイエンドポイントに設定されます。これにより、プライベート接続を介してサービスにアクセスできます。このトピックでは、ゲートウェイエンドポイントを作成および管理する方法について説明します。

背景情報

エンドポイントには、インターフェイスのエンドポイントゲートウェイエンドポイントがあります。エンドポイントは、サービスコンシューマによって作成および管理されます。サービスコンシューマは、エンドポイントをエンドポイントサービスに関連付けて、VPCがエンドポイントサービスにアクセスできるようにすることができます。

インターフェイスエンドポイントは、プライベートIPアドレスを持つelastic network interface (ENI) であり、エンドポイントサービスまたはAlibaba Cloudサービスの入力として機能します。詳細については、「インターフェイスエンドポイントの作成」をご参照ください。
ゲートウェイエンドポイントは、仮想ゲートウェイデバイスである。クラウドサービスのVPCにゲートウェイエンドポイントを作成し、ルートテーブルをゲートウェイエンドポイントに関連付けることができます。次に、システムは自動的にルートテーブルにルートを追加します。ルートの宛先CIDRブロックはクラウドサービスのCIDRブロックであり、ネクストホップはゲートウェイエンドポイントです。クラウドサービスのCIDRブロックのプレフィックスはplで、サフィックスはランダムな文字列です。これにより、VPCはクラウドサービスにアクセスできます。
Alibaba Cloudは、各リージョンのエンドポイントサービスのCIDRブロックが一意であることを保証します (100.64.0.0/10から割り当てられます) 。 Cloud Enterprise Network (CEN) 、VPCピアリング接続、およびVPNゲートウェイを使用して、さまざまなリージョンのゲートウェイエンドポイントのエンドポイントサービスにアクセスできます。

制限事項

クラウドサービスごとに、各VPCは1つのゲートウェイエンドポイントにのみ関連付けることができ、各VPCルートテーブルは1つのゲートウェイエンドポイントにのみ関連付けることができます。
異なるクラウドサービスの場合、各VPCを異なるクラウドサービスのゲートウェイエンドポイントに関連付けることができます。各VPCルートテーブルは、異なるクラウドサービスのゲートウェイエンドポイントに関連付けることができます。
リージョン内のさまざまなクラウドサービスタイプのゲートウェイエンドポイントを初めて作成すると、システムは自動的にシステムプレフィックスリストを作成します。システムプレフィックスリストは変更または削除できません。詳細については、「プレフィックスリストの表示」をご参照ください。
ゲートウェイエンドポイントが属するAlibaba CloudアカウントのIDをサービスホワイトリストに追加する必要があります。詳細については、「エンドポイントサービスのホワイトリストのアカウントIDの管理」をご参照ください。
Object Storage Service (OSS) のみがゲートウェイエンドポイントをサポートしています。 OSSの詳細については、OSSとは

次の表に、OSSがゲートウェイエンドポイントをサポートするリージョンを示します。

エリア	サポート対象リージョン
アジア太平洋	中国 (杭州) 、中国 (上海) 、中国 (青島) 、中国 (北京) 、中国 (張家口) 、中国 (フフホト) 、中国 (深セン) 、中国 (ウランカブ) 、中国 (ヘユアン) 、中国 (広州) 、中国 (成都) 、中国 (香港) 、日本 (東京) 、シンガポール、オーストラリア (シドニー) 、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) 、インド (ムンバイ)
ヨーロッパおよびアメリカ	ドイツ (フランクフルト) 、英国 (ロンドン) 、米国 (シリコンバレー) 、米国 (バージニア)

前提条件

ゲートウェイエンドポイントに関連付けるVPCが作成されます。詳細については、「VPCの作成と管理」をご参照ください。

ゲートウェイエンドポイントの作成とルートの表示

ゲートウェイエンドポイントを作成するときは、ゲートウェイエンドポイントに関連付けられるVPCと、VPCがアクセスする必要があるエンドポイントサービスを指定する必要があります。

VPCコンソールにログインします。
上部のナビゲーションバーで、ゲートウェイエンドポイントを作成するリージョンを選択します。
左側のナビゲーションウィンドウで、エンドポイント.
をクリックし、Gateway Endpointタブをクリックし、エンドポイントの作成.

[エンドポイントの作成] ページで、パラメーターを設定し、[OK] をクリックします。下表にパラメーターを示します。

パラメーター	説明
リージョン	ゲートウェイエンドポイントを作成するリージョンを選択します。
エンドポイント名	ゲートウェイエンドポイントの名前を入力します。
エンドポイントタイプ	作成するエンドポイントのタイプを選択します。この例では、ゲートウェイエンドポイントが選択されています。
エンドポイントサービス	次のいずれかの方法を使用して、エンドポイントをエンドポイントサービスに関連付けることができます。 [その他のエンドポイントサービス] をクリックし、`com.aliyun.cn-beijing.oss`などのサービス名を入力します。 [サービスの選択] をクリックし、VPCがアクセスする必要があるエンドポイントサービスを選択します。
VPC	ゲートウェイエンドポイントを作成するVPCを選択します。
ルートテーブル	ゲートウェイエンドポイントに関連付けるルートテーブルを選択します。
リソースグループ	ゲートウェイエンドポイントのリソースグループを選択します。
タグキー	タグキーを選択または入力します。最大20個のタグキーを指定できます。タグキーの長さは最大128文字で、`http://` または`https://` は使用できません。 `acs:` または`aliyun`で始めることはできません。
タグ値	タグ値を選択または入力します。最大20個のタグ値を指定できます。タグ値の長さは最大128文字で、`http://` または`https://` は使用できません。また、先頭に `acs:` や `aliyun` はできません。
説明	インターフェイスエンドポイントの説明を入力します。
アクセスポリシー	アクセスポリシーを入力します。たとえば、次のアクセスポリシーを入力できます。 `{ "Statement": [ { "Action": "oss:", "Effect": "Allow", "Principal": ["174649585760xxxx"] 、 "Resource": ["acs:oss:::examplebucket" 、 "acs:oss:::examplebucket/"] } ], "バージョン": "1" }` OSSでは、アクセスポリシーを使用してVPCからのアクセスを制御できます。詳細については、「チュートリアル: VPCポリシーとバケットポリシーを使用したデータアクセスの制御」をご参照ください。

に戻ります。Return to theエンドポイントページをクリックし、Gateway Endpointタブをクリックし、作成したゲートウェイエンドポイントのIDをクリックします。
On the関連ルートテーブルタブで、ルートテーブルのIDをクリックします。
選択ルートエントリ一覧 > カスタムルートシステムによって自動的に追加されるルートエントリを表示します。
ゲートウェイエンドポイントを作成すると、ゲートウェイエンドポイントに関連付けられたルートテーブルにルートが自動的に追加されます。ルートの宛先CIDRブロックはクラウドサービスのCIDRブロックであり、ネクストホップはゲートウェイエンドポイントです。

ゲートウェイエンドポイントの削除

不要になったゲートウェイエンドポイントを削除できます。ゲートウェイエンドポイントを削除する前に、まずゲートウェイエンドポイントに関連付けられているルートテーブルの関連付けを解除する必要があります。ルートテーブルの関連付けを解除すると、ゲートウェイエンドポイントを指すルートがルートテーブルから自動的に削除されます。

VPCコンソールにログインします。
左側のナビゲーションウィンドウで、エンドポイント > Gateway Endpoint.
上部のナビゲーションバーで、ゲートウェイエンドポイントが属するリージョンを選択します。
をクリックし、Gateway Endpointタブで、ゲートウェイエンドポイントのIDを見つけ、削除で、アクション列を作成します。
では、エンドポイントの削除メッセージ, クリックOK.

その他操作

API 操作	手順
ルートテーブルをゲートウェイエンドポイントに関連付ける	[ゲートウェイエンドポイント] タブで、管理するゲートウェイエンドポイントを見つけ、そのIDをクリックします。 [関連ルートテーブル] タブで、[ルートテーブルとの関連付け] をクリックします。 [ルートテーブルに関連付ける] ダイアログボックスで、関連付けるルートテーブルを選択し、[OK] をクリックします。システムは自動的にルートテーブルにルートを追加します。ルートの宛先CIDRブロックはクラウドサービスのCIDRブロックであり、ネクストホップはゲートウェイエンドポイントです。
ゲートウェイエンドポイントからのルートテーブルの関連付けの解除	[ゲートウェイエンドポイント] タブで、管理するゲートウェイエンドポイントを見つけ、そのIDをクリックします。 [関連付けられたルートテーブル] タブで、ルートテーブルのIDを見つけ、[操作] 列の [関連付け解除] をクリックします。 [関連付け解除] メッセージで、[OK] をクリックします。次に、ゲートウェイエンドポイントを指すルートがルートテーブルから自動的に削除されます。
ゲートウェイエンドポイントのアクセスポリシーの変更	[ゲートウェイエンドポイント] タブで、管理するゲートウェイエンドポイントを見つけ、そのIDをクリックします。 [アクセスポリシー] タブをクリックし、[アクセスポリシーの変更] をクリックします。 [アクセスポリシーの変更] ダイアログボックスで、アクセスポリシーを変更し、[OK] をクリックします。
ゲートウェイエンドポイントの名前の変更	[ゲートウェイエンドポイント] タブで、管理するゲートウェイエンドポイントを見つけ、そのIDをクリックします。 [基本情報] セクションで、ゲートウェイエンドポイントの名前を見つけ、[編集] をクリックします。表示されるダイアログボックスで、新しい名前を入力し、[OK] をクリックします。

参考資料

CreateVpcGatewayEndpoint: エンドポイントを作成します。
AssociateRouteTablesWithVpcGatewayEndpoint: ルートテーブルをゲートウェイエンドポイントに関連付けます。
DissociateRouteTablesFromVpcGatewayEndpoint: ゲートウェイエンドポイントからルートテーブルの関連付けを解除します。
DeleteVpcGatewayEndpoint: ゲートウェイエンドポイントを削除します。
GetVpcGatewayEndpointAttribute: ゲートウェイエンドポイントを照会します。
UpdateVpcGatewayEndpointAttribute: ゲートウェイエンドポイントの設定を変更します。